Netskope per la conformità al GDPR

Netskope aiuta con il GDPR
Prontezza al cloud

Comprendere la raccolta dei dati personali

I dati personali possono essere raccolti solo se necessari per lo scopo dell'utilizzo, con limitazioni sul trattamento di 'dati speciali' e 'dati sensibili'.

Limita il caricamento o il download di "dati speciali" e "dati sensibili" secondo definizione con Netskope Cloud DLP.
Valuta la funzionalità e gli elementi dati di un processore prima che vengano implementati per l'organizzazione tramite Cloud Confidence Audit (CCA). Uso del CCA:
- Esegui report su quali processori non rispettano gli standard di proprietà dei dati (quelli che specificano che il fornitore e non il cliente possiede i dati).
- Esegui report su quali processori non rispettano i controlli sulla privacy (quelli che permettono cookie di terze parti, accesso ai dati personali sul dispositivo e accesso ad altre app sul dispositivo), incluso se i dati personali vengono utilizzati per scopi di marketing, ecc.

Traccia lo stoccaggio locale

I responsabili e i processori devono conoscere la posizione in cui i dati personali sono conservati o in altro modo processati.

Usa Netskope per valutare dove i dati vengono archiviati e/o elaborati per ciascun processore (servizio cloud).
Applicare la politica con la Netskope Active Platform per i processori che non memorizzano/trasferiscono dati in luoghi sicuri (nella Lista delle Giurisdizioni Adeguate mantenuta dalla Commissione Europea dei paesi e territori approvati) o che non elaborano dati in località non determinate, ad esempio bloccando l'uso di servizi cloud.
Esegui report sull'utilizzo di applicazioni/servizi riassunti per posizione di destinazione.

Impiegare una sicurezza adeguata

I responsabili devono adottare adeguate misure di sicurezza per proteggere i dati personali da perdite, alterazioni o trattamenti non autorizzati.

Scopri e proteggi i dati sensibili a riposo in un processore gestito (servizio cloud) o per attività in tempo reale in tutti i servizi cloud utilizzando Netskope Cloud DLP con supporto per 3000+ identificatori di dati, 500+ tipi di file, caratteri a doppio byte indipendenti dalla lingua, espressioni regolari personalizzate, analisi di prossimità, fingerprinting e corrispondenza esatta, e altro ancora.
Ad esempio, utilizzare il profilo DLP GDPR predefinito di Netskope (o uno personalizzato) per trovare PII e criptarli o metterli in quarantena e riportarli in loco (o messi in blocco legale per la revisione), poiché i processori e i controllori sono tenuti a notificare agli utenti se i loro dati personali non criptati sono andati persi e devono notificare le autorità di supervisione di una violazione dei dati.
Applicare politiche di sicurezza come "Bloccare l'uso di servizi di archiviazione cloud classificati 'Medio' o inferiore" per garantire l'uso organizzativo solo di processori sicuri e verificati.
Rilevare e risolvere automaticamente minacce cloud e malware come i residenti ransomware in servizi autorizzati o in attività in tempo reale come upload e download per prevenire il furto di informazioni.
Identificare le credenziali compromesse in un'altra violazione e correlare l'attività all'interno dei processori incaricati dal controller, per avviare un flusso di lavoro che resetti le credenziali all'interno dell'SSO su tutti i processori gestiti dall'azienda.

Prevenire e far rispettare la sicurezza

I controller devono impedire che dati personali vengano caricati su servizi cloud personali e dispositivi personali (BYOD) oppure applicare le misure di sicurezza dell'organizzazione nei cloud e nei dispositivi personali.

Comprendere e interrogare tutti gli accessi e le attività per dispositivo e classificazione di dispositivo, ad esempio BYOD.
Applicare la politica di accesso e livello di attività basata sul tipo di dispositivo e sulla classificazione.
Applicare la politica sui dispositivi mobili per garantire che i dati aziendali e personali non vengano salvati su app mobili o che utilizzino app mobili per il backup dei dati nel cloud. Integra con soluzioni MDM per un controllo aggiuntivo a livello di dispositivo.
Applicare la politica per garantire che i dati aziendali e personali vengano inviati solo ai processori approvati dall'azienda e non alle istanze personali sullo stesso processore, ad esempio permettendo il caricamento di dati riservati su Box aziendale ma non su istanze personali di Box.
Differenziare tra istanze di processore (servizio) per garantire la politica aziendale e la visibilità solo per i processori autorizzati e i dati personali relativi ai processi organizzativi e aziendali.

Valutare gli standard di sicurezza

I controllori devono conoscere gli standard di privacy e sicurezza a cui il processore aderisce e valutarli.

Tracciare i dati personali con l'analisi forense cloud per registrare e controllare quali processori hanno elaborato e/o possiedono dati personali per soddisfare le richieste di informazioni relative ai dati personali di un individuo.
Valuta la prontezza aziendale dei processori su 50+ parametri con CCI (inclusi elementi di privacy come se l'app abilita i subprocessori o fa altro con i dati, oltre a funzionalità di sicurezza dei dati come la crittografia dei dati a riposo e il tipo di cifratura). Netskope determina anche la prontezza delle app al GDPR su scala alta, media o bassa in base ai parametri.
Usa il CCI per verificare se il processore abilita la registrazione di audit per determinare se individui non autorizzati accedono ai servizi cloud.
Usa il CCI per determinare le misure di sicurezza fisiche e logiche dei processori, come SOC-2 e ISO27001, senza contare i sigilli di privacy delle app come TRUSTe e le certificazioni di conformità come Privacy Shield.

I dati personali possono essere raccolti solo se necessari per lo scopo dell'utilizzo, con limitazioni sul trattamento di 'dati speciali' e 'dati sensibili'.

Limita il caricamento o il download di "dati speciali" e "dati sensibili" secondo definizione con Netskope Cloud DLP.
Valuta la funzionalità e gli elementi dati di un processore prima che vengano implementati per l'organizzazione tramite Cloud Confidence Audit (CCA). Uso del CCA:
- Esegui report su quali processori non rispettano gli standard di proprietà dei dati (quelli che specificano che il fornitore e non il cliente possiede i dati).
- Esegui report su quali processori non rispettano i controlli sulla privacy (quelli che permettono cookie di terze parti, accesso ai dati personali sul dispositivo e accesso ad altre app sul dispositivo), incluso se i dati personali vengono utilizzati per scopi di marketing, ecc.

I responsabili e i processori devono conoscere la posizione in cui i dati personali sono conservati o in altro modo processati.

Usa Netskope per valutare dove i dati vengono archiviati e/o elaborati per ciascun processore (servizio cloud).
Applicare la politica con la Netskope Active Platform per i processori che non memorizzano/trasferiscono dati in luoghi sicuri (nella Lista delle Giurisdizioni Adeguate mantenuta dalla Commissione Europea dei paesi e territori approvati) o che non elaborano dati in località non determinate, ad esempio bloccando l'uso di servizi cloud.
Esegui report sull'utilizzo di applicazioni/servizi riassunti per posizione di destinazione.

I responsabili devono adottare adeguate misure di sicurezza per proteggere i dati personali da perdite, alterazioni o trattamenti non autorizzati.

Scopri e proteggi i dati sensibili a riposo in un processore gestito (servizio cloud) o per attività in tempo reale in tutti i servizi cloud utilizzando Netskope Cloud DLP con supporto per 3000+ identificatori di dati, 500+ tipi di file, caratteri a doppio byte indipendenti dalla lingua, espressioni regolari personalizzate, analisi di prossimità, fingerprinting e corrispondenza esatta, e altro ancora.
Ad esempio, utilizzare il profilo DLP GDPR predefinito di Netskope (o uno personalizzato) per trovare PII e criptarli o metterli in quarantena e riportarli in loco (o messi in blocco legale per la revisione), poiché i processori e i controllori sono tenuti a notificare agli utenti se i loro dati personali non criptati sono andati persi e devono notificare le autorità di supervisione di una violazione dei dati.
Applicare politiche di sicurezza come "Bloccare l'uso di servizi di archiviazione cloud classificati 'Medio' o inferiore" per garantire l'uso organizzativo solo di processori sicuri e verificati.
Rilevare e risolvere automaticamente minacce cloud e malware come i residenti ransomware in servizi autorizzati o in attività in tempo reale come upload e download per prevenire il furto di informazioni.
Identificare le credenziali compromesse in un'altra violazione e correlare l'attività all'interno dei processori incaricati dal controller, per avviare un flusso di lavoro che resetti le credenziali all'interno dell'SSO su tutti i processori gestiti dall'azienda.

Comprendere e interrogare tutti gli accessi e le attività per dispositivo e classificazione di dispositivo, ad esempio BYOD.
Applicare la politica di accesso e livello di attività basata sul tipo di dispositivo e sulla classificazione.
Applicare la politica sui dispositivi mobili per garantire che i dati aziendali e personali non vengano salvati su app mobili o che utilizzino app mobili per il backup dei dati nel cloud. Integra con soluzioni MDM per un controllo aggiuntivo a livello di dispositivo.
Applicare la politica per garantire che i dati aziendali e personali vengano inviati solo ai processori approvati dall'azienda e non alle istanze personali sullo stesso processore, ad esempio permettendo il caricamento di dati riservati su Box aziendale ma non su istanze personali di Box.
Differenziare tra istanze di processore (servizio) per garantire la politica aziendale e la visibilità solo per i processori autorizzati e i dati personali relativi ai processi organizzativi e aziendali.

I controllori devono conoscere gli standard di privacy e sicurezza a cui il processore aderisce e valutarli.

Tracciare i dati personali con l'analisi forense cloud per registrare e controllare quali processori hanno elaborato e/o possiedono dati personali per soddisfare le richieste di informazioni relative ai dati personali di un individuo.
Valuta la prontezza aziendale dei processori su 50+ parametri con CCI (inclusi elementi di privacy come se l'app abilita i subprocessori o fa altro con i dati, oltre a funzionalità di sicurezza dei dati come la crittografia dei dati a riposo e il tipo di cifratura). Netskope determina anche la prontezza delle app al GDPR su scala alta, media o bassa in base ai parametri.
Usa il CCI per verificare se il processore abilita la registrazione di audit per determinare se individui non autorizzati accedono ai servizi cloud.
Usa il CCI per determinare le misure di sicurezza fisiche e logiche dei processori, come SOC-2 e ISO27001, senza contare i sigilli di privacy delle app come TRUSTe e le certificazioni di conformità come Privacy Shield.

Netskope aiuta con il GDPR
Prontezza al cloud